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Введение. Пакеты верификации проектируют и анализируют корректность параллельных и распределенных 
систем в рамках различных классов темпоральных логик линейного и ветвящегося времени. В статье рассмат- 
ривается полиномиально реализуемый класс ЛоГ-формул, интерпретируемый на многосортных моделях с 
иерархическими надстройками. Структура надстройки описывается произвольной контекстно-свободной (КС) 
грамматикой. Предикаты и функции сигнатуры модели интерпретируются на исходном КС-списке, достраива- 
емом в процессе интерпретации. 

Материалы и методы. Для теорий из ДоТ-квазитождеств, обладающих свойствами нётеровости и конфлюент- 
ности, строится константная модель. Рассматриваются формулы многосортного языка исчисления предикатов 
(ИП) 1-го порядка с переменными сорта «список», интерпретируемые на моделях с иерархизированной 
надстройкой. Теория интерпретируется на деревьях вывода грамматики, описывающих поведение специфици- 
руемой системы. Правила КС-грамматики иерархизируют пространство действий моделируемой системы. От- 
мечено, что для моделирования систем реального времени недостаточно выразительных возможностей ЛоТ- 
формул. Поэтому для спецификации используются выражения с неограниченным квантором всеобщности У, 
известные как ПТ-формулы. 

Результаты исследования. В качестве примера приводится логическая спецификация автоматизированного 
комплекса, который состоит из манипулятора, обрабатывающего детали. Положение позиций фиксируется дат- 
чиками. Описывается цикл работы манипулятора. Спецификация его функционирования состоит в иерархиза- 
ции действий правилами КС-грамматики и их описании формулами ИП 1-го порядка с учетом значений време- 
НИ. 

Обсуждение и заключения. В статье показано, что класс рассмотренных формул можно использовать для моде- 
лирования систем реального времени. Приводится пример логической спецификации управляющего устройства 
поведением манипулятора. 


Ключевые слова: логическая спецификация, модель теории, реагирующая система, КС-грамматика, формула 
ИП 1-го порядка. 
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Введение. Математически обоснованные практически значимые методы верификации сложных про- 
граммных и технических систем базируются на аппарате математической логики [1-4]. Известна методика 
применения этого подхода для различных видов реагирующих систем реального времени (протоколов связи, 
систем управления, встроенных бортовых систем космической техники и др.). Данная методика позволяет ве- 
рифицировать системы то4е| свесКла® [5—7]. Многочисленные пакеты верификации поддерживают проектиро- 
вание и анализ корректности параллельных и распределенных систем в рамках различных классов темпораль- 
ных логик линейного и ветвящегося времени: ГТГ, СТГ, ТСТЕ и др. [8]. 

Для моделирования времени в этих системах используется стандартная модель временного автомата. 
Это конечный автомат, снабженный переменными специального вида — локальными часами. Количественный 
анализ временных характеристик системы затруднен сложными экспоненциальными алгоритмами построения 
часовых поясов как классов эквивалентности [9]. Поэтому для упрощения анализа необходимо разработать бо- 
лее выразительный практически значимый языка спецификации. 

Предлагается использовать для моделирования язык У-спецификаций, выделенный в концепции семан- 
тического программирования, которая основана на теоретико-модельном подходе [10]. В этом случае для по- 
строения формальной модели анализируемой системы можно использовать язык исчисления предикатов 1-го 
порядка, расширенный аксиомами для операций над списочными структурами ”””. 

Материалы и методы. В работе используется терминология статей [11, 12]. Пусть М — многосортная 
модель сигнатуры < =< [, С,Е, Ё>. Здесь [Г — множество сортов, включая сорт «список» (15. С, Е, В — 


множества констант, функций и предикатов соответственно. Все символы сигнатуры имеют тип. Если {ЕЁ яв- 


ляется и-местной функцией, п > 0, то ее тип равен <, ... 1, Г>, где й, ... и. 1=Г причем й, ... й — типы аргу- 
ментов, { — тип значения функции. Аналогично и-местный предикат гЕР имеет тип < й, ... >. Носитель моде- 


ли М — индексированное семейство множеств (,=С, ,/Е/, где С, — множество констант сорта }; 


О: ЖехО, = О Ре Ч. ХьхО. , 


1 
Для модели М над множеством констант С формируется списочная надстройка 2. (С) из иерархизи- 
рованных КС-списков, структура которых задается КС-грамматикой С =(М№,Т,Р). Здесь №, Т — множества 


нетерминальных и терминальных символов. Множество О.(С) определяется как наименьшее множество всех 
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списков <1 ...., „>, формируемых для каждого правила А -> Х\...Х, ЕР, и>1 следующим образом: Е — произ- 
вольная константа из С’, ‚ если Х; ЕТ; в противном случае для Х; ЕМ элемент Е, — произвольный список сорта 


ре 


Ао-формулы определяются традиционным способом как формулы сигнатуры с с использованием всех 


логических связок (-, Л, \, —) и ограниченных кванторов Ухеф, херь \Ухеь 3Зхс. Здесь х — перемен- 


ная произвольного сорта; Е — терм сорта Д5Е , не содержащий х; е — отношение принадлежности списку; < — 
отношение вложенности для списков, определяемое как < 0 ,..., 0, > < <а4.,....@, >, Т2П. 


Ниже будем использовать лишь ограниченные кванторы вида Ух Е у, Ух Е у, где переменная у сорта 
[51, отношение Е — транзитивное замыкание отношения Е. Обозначим через Х индексированную последова- 


тельность переменных х;, через = — отношение принадлежности или его транзитивное замыкание. 

Правила КС-грамматики иерархизируют пространство действий моделируемой системы. Из соображе- 
ний эффективности вычислений выделяется класс АоТ-формул с «древесным» префиксом. Введем для элемен- 
тов списков отношение = — «левее», а именно, для списка < .-: ©,В.... > считаем © - В. 

Определение. Ло-формула вида 


(Ууем)... (Уз Е») (п: < П)... (и, < Ь) ФГ), т> 1, р> 0 
называется Ло1-формулой, если п;,[; Е (9, Т), 1 < /< р; для всех переменных префикса выполняется условие: 
ТЕТ ,1 << т или 7141 = Фь, К < Е. Если Т; +1 = Ук, ТО 4 к 3 Тки ик = Т, для всех К < [. 

Легко показать, что префикс АоТ-формулы в силу ограничений на переменные можно представить в 
виде дерева с корнем 71, вершинами "%,, т; и дугами, идущими из вершины 7; в вершину 17;, 1 << т. 

Выразительных возможностей Ло/-формул недостаточно для моделирования систем реального време- 
ни, циклически функционирующих неограниченно долго. Будем использовать для спецификации ПТ-формулы 
с неограниченным квантором всеобщности У. 

Определение. Формула, полученная из ЛАо1-формулы Ф навешиванием неограниченного квантора все- 
общности Уп Ф(и), называется ПТ-формулой. 

Модель М определяется теорией из квазитождеств вида: 

(Ум, Е?))... (Ут, Е т) (< Ц)...(пь < 5 )(ф(®, т) > ф(®,Т)). 
Здесь формула ф (\/) — это конъюнкция атомных формул (или их отрицаний) вида г, т. =то, (Ех), ЕР,ТЕ В, 
Т1, 1› — термы сигнатуры о. 

Алгоритм построения модели [11 реализует правило вывода то4и$ ропепз (если фи Ф-—»у, то чи). Вход- 

ные данные для интерпретатора — множество начальных значений функций и предикатов вида: 
50 = Ф(2), (с) = сир ЕР, ДЕЁ}, 
где с — множество констант из и элементов, п > 1. 

Аксиомы (ах) обрабатываются в определенном порядке, сначала с позитивными вхождениями преди- 
катов в левую и правую часть ах, потом с негативными вхождениями до получения неподвижных точек вычис- 
лений. Область определения функций и предикатов, входящих в правую часть ах, расширяется при истинности 
ее левой части. Это объясняется тем, что интерпретатор задает новые значения функций и предикатов так, что- 
бы правая часть ах была тоже истинной. Пусть состояние 5„ анализируемой системы на -м шаге вычисления 
содержит значения всех предикатов и функций сигнатуры модели, а функция т Р(5) > Р(5) в (терминоло- 
гии [3] — преобразователь предикатов) отражает изменение состояния при переходе интерпретатора /иё от и-го 
шага вычисления к п+1. Интерпретатор /и{ строит для монотонного преобразователя т на Р(5) наименьшую 
неподвижную точку 7. 

т(7) =Ч; т ($5), где 10 (7) = 7, < *1(7) = т((7)). 

Формально функции } Е РЁ и предикаты р Е Ё интерпретируются на КС-списке (п), представляющем 
дерево вывода {"(п) в грамматике С, где п — шаг работы /мг. Из-за трудности представления компактной фор- 
мы записи алгоритма интерпретации на элементах КС-списка приведем сначала словесное пояснение алгорит- 
ма, ориентируясь на дерево {"(п). Входные данные для алгоритма построения модели (18): исходное дерево 
вывода {7(0) в грамматике С, расширяемое в процессе построения модели М и Рас! =5°. КС-грамматика ис- 
пользуется в процессе построения модели следующим образом. Во-первых, правила Р иерархизируют про- 
странство действий и состояний анализируемой системы. Будем считать, что имена действий, представленные в 
сигнатуре модели предикатами, и имена соответствующих нетерминальных символов грамматики совпадают. 
Во-вторых, символы из алфавита Г грамматики однозначно определяют сорта всех элементов универса модели, 
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включая списки, которым ставится в соответствие сорт, определяемый меткой корня соответствующего дерева. 
Сорта будем обозначать мнемонично начальными строчными символами имен нетерминальных и терминаль- 
ных символов грамматики с добавлением в конце символа 5 (507). Основное достоинство КС-грамматик состо- 
ит в возможности использования эффективных синтаксически ориентированных (СО) методов для анализа кор- 
ректности (верификации) модели, развитых в теории синтаксического анализа языков программирования. 

Интерпретатор начинает работу с просмотра дерева {7(0) от корня сверху вниз, слева направо. Пре- 
фикс всех аксиом удовлетворяет ограничениям До,ТГ-формул. Сорта префикса определяются символами КС- 
грамматики С. Интерпретатор выбирает в качестве констант области истинности предикатов, входящих в акси- 
ому ах Е ТИ, константы, сопоставляемые вершинам куста дерева, просматривая его сверху вниз, слева направо. 
Причем корень куста помечен именем соответствующего предиката. Для отражения зависимости моделируе- 
мой технической системы от последовательности входных сигналов необходимо достраивать исходное дерево 
7(0). С этой целью последовательность правил рт*(ах) Е Р\ приписывается к выводу дерева, полученного на 
предыдущем шаге работы алгоритма. Причем константы из области истинности предиката т используются в 
качестве терминальных символов, подчиненных в дереве вершине, помеченной нетерминальным символом 7. 

Опишем алгоритм интерпретации [т более формально, не детализируя процедуру Соп(О, ТИ) — полу- 
чения всех логических следствий из множества формул О на основе аксиом теории ТА. ТЛАу = 5%. Теория 
ТАроз = ТА включает только позитивные вхождения предикатов. ТАиед Е ТА включает негативное вхождение 
предикатов в правой части аксиом. Обозначим ох, нед — деревья выводов, генерируемые в процессе интер- 
претации. 
9:=9; 

О’:=ТИо; 
\ПШе 0 = 0'4до 
Чроз = ©; 
О в - 0’; 
У\ВШе Оо; == Оро; 40 
роз у ре 

О раь == Сот(Оъо«, ТПроз) 
епа \Ю|е 
гебагт (Ороз , Ироз) ; 
пед - 0; 
О Е = Ороз; 
У\ВШе Опед 3 Опед 90 
пед = Опед; 

О пед т Сопт(Олед, ГТтеа) 
епа \№|е 
гебагт (Опед, тед)} 

а = Чроз; 
0’ = Опед 

епа \№|е 
геаги (Опед» пед) 

Верификация модели ЛМ состоит в проверке свойств, которым должна удовлетворять анализируемая 
система. Будем выражать эти свойства произвольными ДоГ-формулами. Используя СО-методы проверки фор- 
мул, можно строить доказательство аналогично [13]. 

Теорема. Произвольная ДоТ-формула с т-ограниченными кванторами всеобщности проверяется на КС- 
списке мощности п за время О(п"*Т). 

Мощность списка &[ равна мощности множества {5 |5 Е Ц}. 

Оценка является верхней, и ее можно понизить до линейной, если проверять формулы с использовани- 
ем специфичных СО-методов обработки языков. 

Результаты исследования. Приведем логическую спецификацию автоматизированного комплекса, со- 
стоящего из манипулятора, обслуживающего технологическую линию (1) с двумя позициями: загрузки и раз- 
грузки деталей (4 и и/А соответственно) [14]. Датчики фиксируют положение позиций. Манипулятор функцио- 
нирует циклически, начиная с позиции загрузки. 
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ЦИКЛ 

1. В начальном положении /[4 для загрузки детали манипулятор поднимает электропривод за 4 сек. 
Сжимает автоматизированные клещи и берет заготовку (2 сек), опускает электропривод (4 сек) и передвигается 
вправо к автомату до срабатывания датчика положения И. 

2. Чтобы установить заготовку на автомате на позиции И, манипулятор поднимает электропривод, раз- 
жимает автоматизированные клещи (2 сек), опускает электропривод. Далее манипулятор ожидает 4 мин, после 
чего повторяет те же процедуры, что и на позиции /4. Затем манипулятор двигается влево к позиции разгрузки 
до срабатывания концевого выключателя и/4. 

3. За 8 сек деталь разгружается на конвейер. Манипулятор передвигается влево до фиксации датчика [4 
на позицию загрузки. Далее процесс работы комплекса циклически повторяется. 

Спецификация системы состоит из нескольких уровней. Поведение манипулятора определяется сигна- 
лами датчиков, фиксирующих его положение: [/4, и, И (> 4, —ша, —И, отрицание указывает на отсутствие со- 
ответствующего сигнала). Эта последовательность сигналов представлена кортежем тс=<х, у, 2...>, где х = А 
(—/4) у =иМ@ (— и), 2=И (— Ц). Она генерируется конечным автоматом с начальным состоянием х. Этот авто- 
мат строится по праволинейной грамматике с правилами: 

51 4 51 | 4$ в 
5#1—> 1 512 | 912 
5$12—> и! 51 | — ша 54. 

Обозначим через 0)51е множество списков, составленных из цепочек символов, порожденных этой 
грамматикой. 

Внешнее дискретное время (переменная и в логической спецификации) определяется количеством пе- 
реходов в автомате. Для описания второго уровня функционирования манипулятора используется КС- 
грамматика, которая указывает последовательность действий (Орег) манипулятора: 

— /,, [а — загрузка заготовки манипулятором в положении [4 и И соответственно; 

— От, Оша — разгрузка детали в позиции и/4 и И; 

— Моуег, Моуе[ — движение манипулятора направо и налево; 

— 1[,5юр, А5юр, Ибюр — остановка манипулятора в соответствующем положении; 

— Вхр — ожидание; 

— Сг — выход из строя управляющего манипулятором устройства. 

На состояния манипулятора (символ Ро5) влияют его действия. В указанном примере состояние харак- 
теризуется непрерывным временем Тйтес и дискретным Тйпе4, задаваемым натуральным числом. Значением 
сорта Типес являются сегменты вида < 1, Ь>, 4, # — константы, причем < заменяется на ( или [ в зависимо- 
сти от того, включена левая граница в сегмент времени или нет, аналогично для >. 

При спецификации поведения манипулятора абстрагируются от значения времени перемещения мани- 
пулятора из одного положения в другое (определяется сигналами с датчиков положения — входными к устрой- 
ству управления манипулятора). Сигналы, которые подаются на исполнительные механизмы манипулятора для 
осуществления передвижений и работы автоматизированных клещей, являются выходными. 

Ниже представлены правила грамматики С. 
‚ а! {Орег} *. 
| Орег->> Г. Га| Оп! Ота| Моуе!| Моуе!| Г5ор | Аяюр| (Лор | Ехр| Ст. 
. [-— 5. 
‚„ Га— 591. 
„ И — 51а. 
‚ Иша > 5е. 
.‚ Моуег — 51ие. 
‚ Моуе[ —> 5кие. 
‚ [5юр —> 5!е. 
10. А5юр — эюие. 
11. Обюр->> зе. 
12. Ехр —> ие. 
13. Си >> 5юе. 
14. кие Ттес Тте4| Тте4 Ттеа. 
15. Тйпес-—> Титеа | (Трпеа, Гтеа) | [Глтеа, Гите4) | (Трпеа, Гте4] | [Глтеа, Гите4]. 
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Птеа — класс лексем, значениями которых являются натуральные числа, вычисляемые во время ин- 
терпретации теории ТИ. 

В теории Тй переменные в формулах обозначаются мнемонично в соответствии с их сортом: р (зе) = 
р (51е), р (орег) = р (Орег), р (п) = р (Ё =р ([Гтеа,, р (сё) = р (Гтес). Предикаты Га, Т/, Оша определены на 
множестве Типеа. Га (п) истинен, если манипулятор находится на позиции загрузки. Аналогично для Т/ (и) — 
на позиции обрабатывающего автомата, О (п) — на позиции разгрузки. Перечислим области определения 
остальных предикатов: [,50р, А5юр, Цб5юр, Моуег, Моуер, Су < ПтеахТГитеа; Г, Га, ЦИш, Иша, ЕхрхТитес х 
Гтеа. В формулах используются стандартные функции йеаа (<х,,...х,>) = х,, @Щ< х,..х, >) =<х,,..х, > и 
функция Мс: Титеа- Ос. Здесь Ос — множество списков из сигналов датчиков. 

В начальный момент времени [ = 0, и = | и на 1-м шаге вычисления выполняется предикат [.50р(0,1); 


* 


Мс (Т) = тс, где тсеПс. В аксиомах 1-11 переменные &, и и сЁ связаны ограниченным квантором \ зе е орег, 
\ Би, СЕ е зи. В аксиомах 12—17 переменная ип связана неограниченным квантором \; 5 = <<<<0,1>>>> — 
начальное значение списка, на котором интерпретируется теория. Составляющие его списки в порядке глубины 


вложенности имеют сорта р (К), р (Оре’), р (Ё510р), р (0) =р (Г) =р (Птеа). Списку 5, соответствует дерево 1, 
(рис. 1). 





Ттеа. 0 


Рис. 1. Дерево Г, , соответствующее списку 5, 





В аксиомах теории справа в квадратных скобках приводится последовательность правил грамматики С, 
достраивающих дерево Г. 
Аксиомы теории 
1. [5юр(@, п) л Га (п) >> МЬЕ+Т), п) ^ Мс (и + Г) = @ Ме (п)) [1; 2.1; 3; 14.1; 15.3]. 
2. Ксь п) ^ ТЦп + Г) -> Моуег (с [2], п + Г) л Ар (с! [2], п + 1) [1;2.5; 7; 14.2;1; 2.8; 10; 14.2]. 
3. Аяюр ( п)-> Иша 6 +7], п) [1; 2.4; 6; 14.1; 15.2]. 
4. Оша (сь п) —> Ехр ((сЁ [2], сё [2] + 180), п) [1; 2.10; 11; 14.1; 15.2] 
5. Ехр (сь п) —> Га [сё [2], с [2] +3), п) ^л Мс (п + Г] =@ Ме (п)) [1; 2.2; 4; 14.1; 15.2]. 
6. [а (с п) ^ Ц (и + Г) > Мое! (сЕ [2], п + Гл Ир (сЁ [2], п + 1) [1; 2.6; 8; 14.2; 1; 2.9; 11; 14.2]. 
7. (15ор (6 п) > Ош (ЕТ), п) ^ Мс (п + ГП = @ЩМС (п) [1; 2.3; 5; 14.1; 15.2]. 
8. Ци! (с, п) л [А (п + Т) >> Моуе! (сё [2], п + Г) л 15юр (© [2], п + Г) [1; 2.6; 8; 14.2; 1; 2.7; 9; 14.2]. 
9. Ош (сь п) л —[а (и + 1) -> Си (сЕ [2], п + 1) [1; 2.11; 13; 14.2]. 
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10. Га (с п) л — Ипа (п + 1)- Си (сЕ [2], п + 1) [1; 2.11; 13; 14.2]. 
11. 6 (6 п) л — 11 (п- 1) —> Си (© [2], п + 1) 1; 2.11; 13; 14.2]. 

12. реаа (Мс (п)) =1а > Га (п). 

13. йеаа (Мс (и)) = — 4 —> — Га (м). 

14. реаа (Мс (п)) =И-—> Т[ (п). 

15. йеаа (Мс (п)) = —И — — Т/ (и). 

16. леаа (Мс (п)) = ша > От (п) 

17. йеаа (Мс (п)) = ша > — ИМ (п). 

Теория Тй обладает свойством нётеровости, т. к. изменение переменной под квантором У ограничено К 
— количеством элементов в исходном списке тс. При этом йеаа (Мс (К-Т)) не определено, т. к. Мс (А+Г=< >. 
Отметим, что цепочки —/А и др. в правой части аксиом 12-17 имеют сорт 517те, и — рассматривается не как 
логическая операция, а как символ. 

Для начального значения функции Мс (1) = <Я, И, ша, 14, — И, шА > получаем множество следствий: 
[510р(0,1), ГА (1), Ё ([0,7), Т), Ме (2) = < #, и, 4, — И, ша>, Моуег (71,2), Азор (7,2), Иша ([7, 14], 2), Ехр([14, 
194], 2), Га([194, 197), 2), Ме (3) = <и4, 14, — И, и 4>, Моуе! (197, 3), И15юр (197, 3), Чт ([197, 204], 3), Мс (4) = 
<1а, — И, и4 >, Моуе! (204, 4), [.51ор (204, 4), Г. ([204, 211), 4), Мс (5) = < — И, иа>, Си (211, 5). 

Полученное множество следствий иерархизируется в соответствии с выводом в грамматике С, полу- 


ченным в результате правил, приписанных к интерпретируемым аксиомам. В соответствии с ними к дереву Г 0 


справа от узла, помеченного символом Орег, добавляются еще 12 вершин, помеченных этим же символом и 
связанных ребрами с корнем. К новым вершинам подвешиваются поддеревья с корнями, помеченными симво- 
лами [4, Моуег, Азор и т. д. с их состояниями и константами сорта р (Титеа), полученными в результате интер- 
претации. 

Обсуждения и заключения. На построенной модели можно проверять истинность произвольных Ло/1- 
формул. Например, формализуем утверждение: «Если манипулятор стоял на позиции загрузки в момент # на 
шаге и цикла его функционирования, то на шаге п + 2 через 197 сек он начинает разгрузку в течение 7 сек». 


Приведенная ниже формула проверяется на заданном списке Орег сорта р (Оре’): 
(У5ище е орег) (УЕ Зще) (Упеза) (Ё51ор(Е, п) —> Ци ([&+ 197, #+ 204], п +2). 
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